Politique de confidentialité

Conformité RGPD — Site cisapp.eu et plateforme app.cisapp.eu

Dernière mise à jour : 15 mai 2026

La présente politique de confidentialité (la « Politique ») décrit la manière dont la société CISAPP SAS traite les données à caractère personnel collectées via le site internet www.cisapp.eu et la plateforme logicielle app.cisapp.eu. Elle est rédigée en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (« RGPD ») et la loi française n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

1. Identité et coordonnées du responsable du traitement

Le responsable du traitement des données collectées via le Site et, le cas échéant, via la Plateforme dans le cadre des traitements pour son propre compte est :

  • CISAPP SAS, société par actions simplifiée (capital social, siège social, RCS et numéro de TVA intracommunautaire en cours d’attribution dans le cadre de la constitution de la société).
  • Représentant légal : Alexis Soto, Directeur Général.
  • Adresse électronique de contact général : hello@cisapp.eu.
  • Adresse dédiée à la protection des données : privacy@cisapp.eu.
  • Délégué à la protection des données (DPO) : CISAPP SAS n’a pas désigné de Délégué à la protection des données. Les demandes relatives à la protection des données peuvent être adressées à privacy@cisapp.eu.

2. Distinction des rôles de CISAPP

Selon le contexte, CISAPP intervient à plusieurs titres au sens du RGPD :

  • En tant que responsable du traitement pour les données collectées via le Site (visiteurs, prospects, formulaires de contact) et pour les données de ses propres collaborateurs, sous-traitants et fournisseurs.
  • En tant que sous-traitant pour le compte de ses Clients, s’agissant des données à caractère personnel saisies, importées ou générées dans la Plateforme par les utilisateurs habilités du Client (employés, prestataires, contacts de fournisseurs identifiés par le Client). Les conditions de ce traitement sont régies par l’Accord de traitement des données (DPA) annexé aux conditions contractuelles.
  • Les données d’entreprise relatives aux fournisseurs (raison sociale, secteur, taille, indicateurs de risque agrégés) saisies ou produites dans la Plateforme peuvent être mutualisées entre Clients dans des conditions précisées dans les conditions contractuelles. La mutualisation porte exclusivement sur des données relatives à des personnes morales et exclut toute donnée à caractère personnel.

3. Données collectées et finalités

CISAPP collecte uniquement les données strictement nécessaires aux finalités décrites ci-dessous.

3.1 Visiteurs du Site

Lorsque vous visitez le Site, CISAPP peut collecter les données suivantes :

  • Données du formulaire de contact / demande de démonstration : adresse électronique professionnelle, et, le cas échéant, nom, prénom, fonction, société, message saisi.
  • Données de mesure d’audience : page consultée, source de référence, type de navigateur et résolution d’écran, pays, données strictement anonymisées par notre outil d’analyse auto-hébergé (Plausible Analytics) sans collecte d’identifiant individuel ni d’adresse IP en clair.
  • Données techniques de connexion : journaux serveurs (logs) conservés à des fins de sécurité, contenant notamment l’adresse IP tronquée, la date et l’heure de la requête, l’URL appelée et le code de réponse.

Les finalités du traitement sont :

Finalité Base légale Données concernées Durée
Répondre aux demandes de contact et de démonstration Mesures précontractuelles (art. 6.1.b RGPD) Coordonnées professionnelles, message 3 ans à compter du dernier contact
Adresser des informations commerciales par voie électronique sur des produits analogues Intérêt légitime de CISAPP à promouvoir ses services auprès de prospects professionnels (art. 6.1.f RGPD) Adresse électronique professionnelle 3 ans à compter du dernier contact ou opposition
Mesurer l’audience du Site Intérêt légitime de CISAPP à comprendre l’usage de son Site sans porter atteinte à la vie privée des visiteurs (art. 6.1.f RGPD) Données d’audience anonymisées 13 mois maximum
Assurer la sécurité du Site et conserver les preuves techniques Obligation légale de sécurité (art. 6.1.c RGPD) et intérêt légitime (art. 6.1.f RGPD) Journaux techniques 12 mois maximum

3.2 Utilisateurs de la Plateforme

Les données traitées dans le cadre de l’utilisation de la Plateforme par les utilisateurs habilités du Client (collaborateurs, prestataires, contacts identifiés par le Client) sont traitées par CISAPP en qualité de sous-traitant, pour le compte et selon les instructions documentées du Client (responsable du traitement).

Les catégories de données traitées comprennent notamment :

  • Données d’identification du compte utilisateur : nom, prénom, fonction, adresse électronique professionnelle, mot de passe haché, identifiant unique interne, langue préférée.
  • Données de navigation et d’usage de la Plateforme : actions effectuées, modules consultés, horodatage des connexions, adresse IP.
  • Données saisies dans le cadre de la gestion des fournisseurs : noms, fonctions et coordonnées professionnelles des contacts identifiés par le Client chez ses fournisseurs.
  • Documents et pièces téléversés par le Client ou ses fournisseurs : contrats, certifications, attestations, questionnaires renseignés, qui peuvent contenir des données personnelles selon le choix du Client.

Les finalités, durées de conservation et destinataires de ces données sont définis par le Client et précisés dans l’Accord de traitement des données (DPA).

3.3 Contacts professionnels identifiés chez les fournisseurs

Lorsque le Client saisit dans la Plateforme les coordonnées professionnelles de contacts chez ses fournisseurs (par exemple pour leur adresser un questionnaire d’évaluation), ces personnes sont informées de la collecte et du traitement de leurs données dans la première communication qui leur est adressée via la Plateforme. Cette information comprend notamment l’identité du Client (responsable du traitement), la finalité, leurs droits et les coordonnées pour les exercer.

CISAPP n’utilise ces données qu’aux seules fins de fournir le service au Client, et ne les exploite pas pour son propre compte.

4. Destinataires des données

Les données personnelles collectées par CISAPP en qualité de responsable du traitement ne sont communiquées qu’aux destinataires suivants, et uniquement dans la mesure strictement nécessaire à la finalité poursuivie :

  • Les collaborateurs habilités de CISAPP (équipes commerciale, marketing, support, sécurité et conformité), strictement dans le cadre de leurs missions.
  • Les sous-traitants techniques de CISAPP, listés à l’article 5.
  • Les autorités administratives ou judiciaires, lorsque la loi l’exige.

CISAPP ne procède à aucune cession, vente ni location de données personnelles à des tiers à des fins commerciales.

5. Sous-traitants et transferts de données

CISAPP SAS fait appel à des prestataires techniques pour héberger et exploiter le Site et la Plateforme. À la date de la dernière mise à jour de la présente Politique, les sous-traitants utilisés sont les suivants :

Sous-traitant Adresse Pays Service
OVH SAS 2 rue Kellermann, 59100 Roubaix France (UE) Hébergement infrastructure, sauvegardes, services réseau
Scaleway SAS 8 rue de la Ville l’Evêque, 75008 Paris France (UE) Hébergement infrastructure complémentaire, sauvegardes, envoi d’e-mails transactionnels
Crisp IM SAS 2 Boulevard de Launay, 44100 Nantes France (UE) Messagerie en ligne (chat) pour le support des visiteurs et utilisateurs
Google Ireland Limited (Google Workspace) Gordon House, Barrow Street, Dublin 4 Irlande (UE) Messagerie professionnelle et stockage de documents internes

Garanties applicables : OVH SAS et Scaleway SAS sont certifiés ISO/IEC 27001, ISO/IEC 27017 et ISO/IEC 27018, et opèrent des datacenters disposant de qualifications HDS et SecNumCloud selon les offres souscrites ; Crisp IM SAS est conforme au RGPD avec hébergement intégral en Union européenne ; Google Ireland Limited est certifié ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 et SOC 2 Type II.

À la date de la dernière mise à jour, l’ensemble des sous-traitants de CISAPP SAS sont établis dans l’Union européenne. Pour les sous-traitants appartenant à des groupes internationaux (notamment Google Ireland Limited, filiale du groupe Google), les Clauses contractuelles types adoptées par la Commission européenne sont mises en œuvre pour encadrer tout flux ultérieur intra-groupe susceptible d’intervenir, conformément aux articles 44 à 49 du RGPD et aux recommandations du Comité européen de la protection des données.

Si CISAPP SAS devait recourir à un nouveau sous-traitant établi hors de l’Union européenne, le transfert ne serait effectué que sur le fondement d’une décision d’adéquation de la Commission européenne, des Clauses contractuelles types adoptées par la Commission, ou d’un autre mécanisme prévu aux articles 44 et suivants du RGPD. La liste actualisée des sous-traitants est tenue à jour et peut être communiquée sur simple demande à privacy@cisapp.eu.

6. Durées de conservation

CISAPP conserve les données personnelles pendant la durée strictement nécessaire à la réalisation des finalités décrites à l’article 3. Au-delà, les données sont supprimées ou anonymisées.

Pour les données traitées dans la Plateforme pour le compte d’un Client, les durées sont définies contractuellement et au plus tard, sauf instruction contraire, supprimées dans un délai de quatre-vingt-dix (90) jours suivant la fin de la relation contractuelle, sous réserve des obligations légales de conservation.

Les obligations légales de conservation (notamment en matière comptable, fiscale ou de preuve) prévalent sur les durées indiquées ci-dessus. Les données concernées sont alors archivées dans des conditions garantissant leur sécurité et la limitation des accès.

7. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d’accès aux données vous concernant et à des informations sur leur traitement.
  • Droit de rectification des données inexactes ou incomplètes.
  • Droit à l’effacement (« droit à l’oubli ») dans les cas prévus par le RGPD.
  • Droit à la limitation du traitement dans les cas prévus par le RGPD.
  • Droit d’opposition au traitement fondé sur l’intérêt légitime, et en toutes circonstances pour la prospection commerciale.
  • Droit à la portabilité des données que vous avez fournies, dans un format structuré et couramment utilisé.
  • Droit de définir des directives relatives au sort de vos données après votre décès.
  • Droit de retirer votre consentement à tout moment, sans que cela ne remette en cause la licéité des traitements effectués avant le retrait, pour les traitements fondés sur le consentement.

Pour exercer ces droits, vous pouvez adresser une demande à privacy@cisapp.eu, accompagnée de tout élément permettant de justifier de votre identité en cas de doute raisonnable. CISAPP s’efforcera de répondre dans un délai d’un (1) mois à compter de la réception de la demande, prorogeable de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes.

Si les données sont traitées par CISAPP en qualité de sous-traitant pour le compte d’un Client, CISAPP transmettra votre demande au Client concerné, qui est le responsable du traitement et auquel il revient d’y répondre.

Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France — www.cnil.fr.

8. Cookies et autres traceurs

Le Site n’utilise aucun cookie ni traceur soumis à recueil de consentement préalable au sens de l’article 82 de la loi Informatique et Libertés.

La mesure d’audience du Site est assurée par un instance auto-hébergée de Plausible Analytics, configurée pour respecter la vie privée des visiteurs : aucune identification individuelle, aucune adresse IP en clair, aucune corrélation possible avec d’autres traitements. Conformément à la position de la CNIL, cet usage relève de l’exemption de consentement.

Des cookies strictement nécessaires au fonctionnement de la Plateforme (par exemple cookies de session, cookies d’authentification, cookies CSRF) peuvent être déposés lors de l’utilisation de la Plateforme. Ces cookies sont indispensables à la fourniture du service et ne sont pas soumis à consentement préalable.

Aucun cookie publicitaire, de profilage ou de mesure d’audience tierce n’est déposé.

9. Sécurité des données

CISAPP SAS met en œuvre des mesures techniques et organisationnelles appropriées pour préserver la sécurité, l’intégrité, la disponibilité et la confidentialité des données traitées. Ces mesures sont décrites en détail dans l’Annexe sécurité accessible aux Clients.

À titre indicatif, les principales mesures comprennent : chiffrement des données en transit (TLS) et au repos, contrôle des accès par identifiant et mot de passe robuste, authentification multifacteur disponible, séparation des environnements, journalisation des accès, sauvegardes chiffrées, hébergement dans des centres de données certifiés ISO/IEC 27001 situés en Union européenne.

En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, CISAPP notifie la CNIL dans un délai de 72 heures et informe les personnes concernées dans les conditions prévues par le RGPD.

10. Modifications de la Politique

CISAPP peut être amenée à modifier la présente Politique pour tenir compte d’évolutions légales, jurisprudentielles, techniques ou opérationnelles. La version applicable est celle publiée sur le Site à la date de votre consultation. La date de dernière mise à jour figure en bas de la présente Politique.

En cas de modification substantielle, les Clients seront informés par tout moyen approprié au moins trente (30) jours avant l’entrée en vigueur des modifications.

11. Contact

Pour toute question relative à la présente Politique ou au traitement de vos données personnelles, vous pouvez contacter CISAPP SAS :

  • par courriel : privacy@cisapp.eu
  • par courrier : à l’attention du référent protection des données, à l’adresse du siège social (en cours d’attribution dans le cadre de la constitution de la société — adresse à venir).

Dernière mise à jour : 15 mai 2026. Version : 1.0.0.